Alfred Kärcher ha raggiunto un impatto e una conformità su scala mondiale grazie alla gestione automatizzata dei dati
Settore: vendita al dettaglio e produzione
Regione: Internazionale
Dimensioni azienda: Impresa
Soluzioni in primo piano: Data Mapping Automation, Targeted Data Discovery, Assessment Automation, Cookie Consent, Privacy Rights Automation, PIA & DPIA Automation
Nel 2019, quando Michael Apperger ha assunto il ruolo di Responsabile della protezione dei dati (Data Protection Officer, DPO) presso Alfred Kärcher SE & Co. KG, il registro delle attività di trattamento dell'azienda era gestito in un foglio di calcolo Excel.
In qualità di leader mondiale nel settore delle attrezzature e delle soluzioni per la pulizia, Kärcher vanta oltre 150 filiali in 80 paesi. L'azienda è stata fondata e ha sede in Germania e Apperger ricopre il ruolo di DPO per la società madre e le sue cinque filiali sul territorio nazionale.
Avendo lavorato in Kärcher per 25 anni, Apperger era la scelta ideale per questo ruolo. La sua familiarità con le operazioni, unita alla sua precedente esperienza nel reparto IT, gli ha permesso di automatizzare e ottimizzare il processo di protezione dei dati.
Attualmente Kärcher vanta un registro delle attività di trattamento affidabile, incentrato su OneTrust e rafforzato da un sistema automatizzato che semplifica la conformità con le norme sulla privacy.
Non appena Apperger ha aperto il primo foglio Excel pieno di attività di trattamento dei dati, ha deciso di rinnovare l'intera procedura.
"Un mio collega ha compilato il foglio da solo. Si è ovviamente confrontato con il responsabile del processo, ma è stato lui a scrivere le descrizioni", racconta. "Dal mio punto di vista, se non sono immerso nel processo, non sono in grado di descriverlo con precisione. Pertanto, ho bisogno del responsabile del processo per descrivere il processo stesso".
Apperger ha cercato una soluzione in grado di agevolare le attività di trattamento dei dati su larga scala, dall'invio di modelli personalizzati direttamente ai responsabili dei processi designati al mantenimento di un inventario aggiornato dei dati.
OneTrust era la scelta più ovvia. "All'epoca, gli altri strumenti erano in grado di documentare solo le attività di trattamento. OneTrust era l'unica soluzione in grado di fare ciò ma anche contribuire alla conformità al GDPR, alle leggi sulla privacy, alla scoperta dei dati e all'automazione", spiega. "Dopo aver analizzato tutte le opzioni, sono arrivato alla conlusione che OneTrust è lo strumento più adatto ad Alfred Kärcher e alle sue filiali".
Michael Apperger, Responsabile della protezione dei dati (DPO) presso Alfred Kärcher SE & Co. KG
Nel suo primo anno di attività, Apperger si è dedicato alla ricostruzione dei registri delle attività di trattamento dei dati di Kärcher con l'ausilio di due moduli OneTrust: PIA and DPIA Automation and Data Mapping Automation. Questi moduli collaborano per integrare i modelli di valutazione nei sistemi esistenti, offrendo una prospettiva completa e in tempo reale dei dati dell'organizzazione.
La serie iniziale di moduli PIA e DPIA ha evidenziato una lacuna nel piano. "Abbiamo posto le domande corrette, ma le risposte dei responsabili dei processi non sono state molto soddisfacenti perché non avevano una conoscenza approfondita del GDPR", spiega Apperger.
Le attività di elaborazione dei dati si estendono a tutta l'azienda e comprendono aree come le vendite, il marketing e le risorse umane, richiedendo moduli che si rivolgano a un pubblico ampio.
"Le abbiamo ridotte all’essenziale", afferma. “Circa 20 domande, solo domande basilari. Inoltre, ogni e-mail che accompagna il modulo fornisce un breve riassunto delle funzionalità di OneTrust e delle sue potenziali applicazioni".
Una volta ricevute e riviste le risposte, Apperger incontrava il responsabile del processo per discuterne ulteriormente prima di concedere l'approvazione finale. Il modulo viene inviato periodicamente ai responsabili del processo per la revisione delle attività di trattamento.
Oltre a semplificare i moduli, Apperger era alla ricerca di nuovi modi per comunicare l'importanza della protezione e della sicurezza dei dati. Il suo obiettivo era aumentare la sensibilizzazione dei suoi colleghi per quanto riguarda il GDPR e le leggi sulla protezione dei dati e rendere queste informazioni più interessanti. Una migliore comprensione porta a un processo più fluido.
"Ogni giorno riceviamo nuove domande sul GDPR come: “Questa immagine è considerata un dato personale? Queste informazioni sono considerate dati personali?", osserva Apperger. "È un linguaggio completamente nuovo per l'azienda. Pertanto, abbiamo illustrato la nostra implementazione della protezione dei dati in Kärcher in un manuale completo sulla protezione dei dati".
Per migliorare la sensibilizzazione alla protezione dei dati all'interno dell'azienda, Kärcher pubblica una newsletter trimestrale che tratta le questioni generali della protezione dei dati, gli aggiornamenti più recenti forniti dalle autorità di controllo e i temi specifici riguardanti la protezione dei dati.
Grazie a questa guida, Apperger e il suo team hanno sviluppato una strategia di protezione dei dati che supera i confini geografici. Con l'applicazione di nuove leggi e normative e la modifica delle linee guida per il trasferimento dei dati, è fondamentale per un'azienda mantenere il controllo dei propri dati.
Apperger osserva: "Il vantaggio di OneTrust è che possiamo creare campi personalizzati e utilizzarli come filtri per identificare le attività di elaborazione che richiedono modifiche ad ogni cambiamento delle normative".
Una volta implementata la sua strategia di protezione dei dati, Apperger ha iniziato a presentare personalmente OneTrust agli altri DPO di Kärcher. AA tal scopo, ha creato un altro manuale per illustrare i diversi moduli che aiutano a gestire le attività di trattamento dei dati e a garantire la conformità al GDPR.
Con questi presupposti, procedere con l'integrazione è stato facile. "Le filiali utilizzano molte delle nostre procedure, quindi la maggior parte delle volte si tratta di un semplice copia-incolla", spiega. Ad esempio, il processo di reclutamento online di Kärcher è lo stesso per tutti i paesi. Poiché il processo è già documentato in OneTrust, è possibile copiarlo e applicarlo immediatamente a qualsiasi altro paese.
La sfida, tuttavia, consisteva nell'affrontare il numero di richieste di dati sui clienti ricevute dalle filiali. Le filiali di Kärcher sono i principali canali di vendita nei rispettivi paesi e rappresentano il mezzo principale per i clienti per richiedere l'accesso, la correzione o la cancellazione dei propri dati, un compito che spesso è più facile a dirsi che a farsi.
Ogni richiesta richiede la verifica della sua legittimità, la localizzazione dei dati in vari sistemi (anche di terze parti), l'identificazione di eventuali esenzioni e la documentazione di modifiche.
"Ciò ha richiesto un cambiamento di mentalità e una soluzione", afferma. Apperger e il suo team hanno utilizzato i moduli Privacy Rights Automation e Data Discovery di OneTrust per agevolare queste richieste. Scansionando automaticamente ogni ambiente di dati, fino a livello di campo e di file, Apperger è stato in grado di semplificare l'intero processo su un'unica piattaforma.
Oggi OneTrust è la colonna portante della strategia di protezione dei dati di Kärcher. "Ci ha fornito una panoramica di tutte le attività di trattamento dell'azienda e ha aiutato i nostri colleghi a comprendere meglio il GDPR", afferma Apperger.
"Credo che il processo attuale sia molto efficace. Per quanto riguarda il futuro, puntiamo a integrare le nostre attività di elaborazione per monitorare la creazione e il movimento dei dati in tutta l'azienda. È un obiettivo che possiamo raggiungere facilmente con OneTrust".
GRC e garanzia di sicurezza
Partecipa al nostro webinar il 24 ottobre alle 11:00 per approfondire i principali requisiti della Direttiva NIS2 e il suo impatto sul territorio italiano.
